Vad är en VPN-gateway?
En VPN-gateway är en viss typ av virtuell nätverksgateway som används till att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och en lokal plats via internet. Du kan också använda en VPN-gateway till att skicka krypterad trafik mellan virtuella Azure-nätverk via Microsofts nätverk. Ett virtuellt nätverk kan endast ha en VPN-gateway. Du kan dock skapa flera anslutningar till samma VPN-gateway. När du skapar flera anslutningar till samma VPN-gateway delar alla VPN-tunnlar på den tillgängliga bandbredden.
Vad är en virtuell nätverksgateway?
En virtuell nätverksgateway består av två eller flera virtuella datorer som distribueras till ett specifikt undernät som du skapar och som kallas gatewayundernätet. Virtuella datorer för virtuell nätverksgateway innehåller routningstabeller och kör specifika gatewaytjänster. Dessa virtuella datorer skapas när du skapar den virtuella nätverksgatewayen. Du kan inte konfigurera de virtuella datorer som ingår i den virtuella nätverksgatewayen direkt.
När du konfigurerar en virtuell nätverksgateway konfigurerar du en inställning som anger gatewaytypen. Gatewaytypen avgör hur den virtuella nätverksgatewayen ska användas och de åtgärder som gatewayen vidtar. Gatewaytypen "Vpn" anger att den typ av virtuell nätverksgateway som skapas är en "VPN-gateway". Detta skiljer den från en ExpressRoute-gateway, som använder en annan gatewaytyp. Ett virtuellt nätverk kan ha två virtuella nätverksgatewayer. en VPN-gateway och en ExpressRoute-gateway. Se Gatewaytyper för mer information.
Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU. När du skapar en virtuell nätverksgateway distribueras de virtuella gatewaydatorerna till gatewayundernätet och konfigureras med de inställningar du anger. När du har skapat en VPN-gateway kan du skapa en VPN-tunnelanslutning med IPsec/IKE mellan denna VPN-gateway och en annan VPN-gateway (VNet-till-VNet), eller en VPN-tunnel med IPsec/IKE mellan VPN-gatewayen och en lokal VPN-enhet (Plats-till-plats). Du kan också skapa en PUNKT-till-plats-VPN-anslutning (VPN över OpenVPN, IKEv2 eller SSTP), som gör att du kan ansluta till ditt virtuella nätverk från en fjärrplats, till exempel från en konferens eller hemifrån.
Konfigurera en VPN gateway
En anslutning för VPN-gateway är beroende av flera resurser som är konfigurerade med specifika inställningar. De flesta av resurserna kan konfigureras separat, men vissa resurser måste konfigureras i en viss ordning.
Design
Det är viktigt att känna till att det finns olika konfigurationer för VPN-gatewayanslutningar. Du måste bestämma vilken konfiguration som passar bäst för dina behov. Punkt-till-plats-anslutningar, plats-till-plats-anslutningar och samexisterande ExpressRoute-/plats-till-plats-anslutningar har till exempel olika instruktioner och konfigurationskrav. Information om hur du utformar och visar diagram över anslutningstopologin finns i Designa.
Planeringstabell
Tabellen nedan kan hjälpa dig att bestämma det bästa anslutningsalternativet för din lösning.
| Punkt-till-plats | Plats-till-plats | ExpressRoute | |
|---|---|---|---|
| Tjänster som stöds av Azure | Cloud Services och Virtual Machines | Cloud Services och Virtual Machines | Tjänstlista |
| Vanliga bandbredder | Baserat på gateway-SKU | Vanligtvis < 1 Gbit/s sammanlagt | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps |
| Protokoll som stöds | Secure Sockets Tunneling Protocol (SSTP), OpenVPN och IPsec | IPsec | Direktanslutning över VLAN, NSP:er VPN-teknologier (MPLS, VPLS,...) |
| Routning | RouteBased (dynamisk) | Vi stöder principbaserad (statisk routning) och ruttbaserad (dynamisk routning VPN) | BGP |
| Anslutningsåterhämtning | aktiv-passiv | aktiv-passiv eller aktiv-aktiv | aktiv-aktiv |
| Vanligt användningsfall | Säker åtkomst till virtuella Azure-nätverk för fjärran vändare | Scenarier för utveckling/testning/labb och små till medel stora produktions arbets belastningar för moln tjänster och virtuella datorer | Åtkomst till alla Azure-tjänster (validerad lista), Enterprise-klass och verksamhetskritiska arbetsbelastningar, säkerhetskopiering, Big Data, Azure som en DR-plats |
| Serviceavtal | Serviceavtal | Serviceavtal | Serviceavtal |
| Prissättning | Prissättning | Prissättning | Prissättning |
| Teknisk dokumentation | VPN Gateway dokumentation | VPN Gateway dokumentation | Dokumentation om ExpressRoute |
| Vanliga frågor och svar | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar om VPN Gateway | Vanliga frågor och svar för ExpressRoute |
Inställningar
De inställningar som du väljer för varje resurs är viktiga för att skapa en lyckad anslutning. Information om enskilda resurser och inställningar för VPN Gateway finns Om inställningar för VPN Gateway. Den här artikeln innehåller information om gatewaytyper, gateway-SKU:er, VPN-typer, anslutningstyper, gatewayundernät, lokala nätverksgatewayer och andra resursinställningar som du kan använda.
Distributionsverktyg
Du kan börja skapa och konfigurera resurser med hjälp av ett konfigurationsverktyg, till exempel Azure Portal. Du kan senare välja att byta till ett annat verktyg, som PowerShell, för att konfigurera ytterligare resurser eller ändra befintliga resurser om det behövs. För närvarande går det inte att konfigurera alla resurser och resursinställningar på Azure Portal. Anvisningarna i artiklarna för varje anslutningstopologi anger om ett specifikt konfigurationsverktyg behövs.
Gateway-SKU:er
När du skapar en virtuell nätverksgateway anger du vilken gateway-SKU som du vill använda. Välj den SKU som uppfyller dina krav baserat på typerna av arbetsbelastning, dataflöden, funktioner och serviceavtal.
- Mer information om gateway-SKU:er, inklusive funktioner som stöds, produktion och dev-test och konfigurationssteg finns i artikeln VPN Gateway Inställningar – Gateway-SKU:er.
- Information om äldre SKU finns i Arbeta med äldre SKU:er.
Gateway-SKU:er efter tunnel, anslutning och dataflöde
| VPN Gateway-generering |
SKU | S2S/VNet-till-VNet tunnlar |
P2S SSTP-anslutningar |
P2S IKEv2/OpenVPN-anslutningar |
Prestandamått för aggregerat datagenomflöde |
BGP | Zonredundant |
|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Max. 10 | Max. 128 | Stöds inte | 100 Mbit/s | Stöds inte | No |
| Generation1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | No |
| Generation1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | No |
| Generation1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | No |
| Generation1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Yes |
| Generation1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Yes |
| Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | No |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | No |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | No |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | No |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Yes |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Yes |
(*) Använd Virtual WAN om du behöver fler än 100 S2S VPN-tunnlar.
Storleksändring av VpnGw-SKU:er tillåts inom samma generation, förutom storleksändring av Basic-SKU:n. Basic-SKU:n är en äldre SKU och har funktionsbegränsningar. Om du vill flytta från Basic till en annan VpnGw SKU måste du ta bort den grundläggande SKU VPN-gatewayen och skapa en ny gateway med önskad kombination av generation och SKU-storlek. Du kan bara ändra storlek på en Basic-gateway till en annan äldre SKU (se Arbeta med äldre SKU:er).
Dessa anslutningsgränser är separata. Du kan exempelvis ha 128 SSTP-anslutningar och även 250 IKEv2-anslutningar på en VpnGw1-SKU.
Information om priser finns på sidan Priser.
Information om SLA (serviceavtal) finns på sidan SLA.
På en enda tunnel kan ett dataflöde på högst 1 Gbit/s uppnås. Prestandamått för aggregerat dataflöde i tabellen ovan baseras på mätningar av flera tunnlar som aggregerats via en enda gateway. Prestandamåttet för aggregerat dataflöde för VPN Gateway är S2S + P2S kombinerat. Om du har många P2S-anslutningar kan det påverka en S2S-anslutning negativt på grund av dataflödesbegränsningar. Prestandamåttet för aggregerat datagenomflöde inte garanterat genomströmning på grund av villkor för Internet-trafik och dina program.
För att hjälpa våra kunder att förstå den relativa prestandan för SKU:er med hjälp av olika algoritmer använde vi offentligt tillgängliga iPerf- och CTSTraffic-verktyg för att mäta prestanda. Tabellen nedan visar resultatet av prestandatester för SKU:er av första generationen, VpnGw. Som du ser får vi bästa möjliga prestanda när vi använde GCMAES256-algoritmen för både IPsec-kryptering och integritet. Vi fick genomsnittlig prestanda när vi använder AES256 för IPsec-kryptering och SHA256 för integritet. När vi använde DES3 för IPsec-kryptering och SHA256 för integritet fick vi lägsta prestanda.
| Generation | SKU | Algoritmer som används |
Observerat dataflöde |
Paket per sekund per tunnel observerad |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 120 Mbit/s |
58,000 50 000 50 000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbit/s 500 Mbit/s 120 Mbit/s |
90 000 80 000 55,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 120 Mbit/s |
105,000 90 000 60 000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbit/s 500 Mbit/s 120 Mbit/s |
58,000 50 000 50 000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbit/s 500 Mbit/s 120 Mbit/s |
90 000 80 000 55,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbit/s 550 Mbit/s 120 Mbit/s |
105,000 90 000 60 000 |
Tillgänglighetszoner
VPN-gatewayer kan distribueras i Azure-tillgänglighetszoner. Det ger flexibilitet, skalbarhet och högre tillgänglighet för virtuella nätverksgatewayer. Distribution av gatewayer i Azure-tillgänglighetszoner skiljer gatewayerna åt fysiskt och logiskt i en region, samtidigt som din lokala nätverksanslutning till Azure skyddas mot fel på zonnivå. Se Om zonredundant virtuella nätverksgatewayer i Azure-tillgänglighetszoner.
Prissättning
Du betalar för två saker: beräkningskostnaderna per timme för den virtuella nätverksgatewayen och för utgående dataöverföring från den virtuella nätverksgatewayen. Information om priser finns på sidan Priser. Information om priser för äldre Gateway-SKU finns på sidan med ExpressRoute-priser och rulla till avsnittet Virtual Network gateways .
Beräkningskostnader för virtuell nätverksgateway
Varje virtuell nätverksgateway har ett timpris för beräkningar. Priset grundas på den gateway-SKU du anger när du skapar en virtuell nätverksgateway. Kostnaden är för själva gatewayen och läggs till utöver den dataöverföring som går via gatewayen. Kostnaden för en aktiv-aktiv-konfiguration är densamma som en aktiv-passiv.
Kostnader för överföring av data
Kostnaderna för överföring av data beräknas baserat på utgående trafik från den virtuella nätverksgatewayen (källan).
- Om du skickar trafik till din lokala VPN-enhet debiteras du priset för utgående dataöverföring via Internet.
- Om du skickar trafik mellan virtuella nätverk i olika regioner baseras priset på regionen.
- Om du skickar trafik endast mellan virtuella nätverk i samma region tillkommer inga kostnader för data. Trafik mellan VNets i samma region är kostnadsfri.
Se Gateway-SKU:er för information om gateway-SKU:er för VPN Gateway.
Vanliga frågor
Vanliga frågor om VPN Gateway finns i Vanliga frågor och svar om VPN Gateway.
Vad är det senaste?
Prenumerera på RSS-flödet och visa de senaste VPN Gateway funktionsuppdateringarna på sidan Azure-uppdateringar.